本文从版本选择、开启资产保护、配置访问控制策略等方面提供指导。
如何选择适合我的云防火墙版本
云防火墙分为高级版、企业版和旗舰版三个版本,每个版本支持的功能和资产/带宽扩展规格不同,详细信息参见功能特性。
开启公网资产保护
互联网边界防火墙帮助您检测和防护云上公网IP资产间的通信流量。只有为资产开启互联网边界防火墙后,您才可以使用云防火墙分析和控制云上主机的互联网访问流量。
开启VPC资产保护
VPC边界防火墙能够检测和统计已连通的VPC间的通信流量数据,帮助您发现和排查异常攻击。开启VPC边界防火墙之前,您需要先创建VPC边界防火墙。
- 在云防火墙控制台的防火墙开关页面的VPC边界防火墙页签,选择为云企业网实例或高速通道实例创建VPC边界防火墙。
- 为云企业网实例或高速通道实例开启VPC边界防火墙。
开启云防火墙保护和入侵防御拦截模式
云防火墙服务开通后,您可在防火墙开关页面将资产全部开启保护,在入侵防御页面中开启拦截模式,即可全面保护您的资产安全。
配置外到内的访问策略
在外对内流量的访问策略中,不要对公网IP全部端口开放访问,对外仅开放必要的互联网IP和端口,其他端口请全部设置为拒绝。
- 放行需要对外开放的应用或端口。
在访问控制页面外对内流量列表中,依据业务需求,将源IP地址配置为
0.0.0.0/0
或特定源,也可选择地址簿中系统默认配置的地址簿ANY(0.0.0.0/0
)或特定源,目的选择要放开的IP或地址簿中的特定目的,协议选择ANY或者依据业务需要选择对应协议,动作选择放行。例如,80端口为Web服务,对全网开放,因此访问源为0.0.0.0/0;1433、3389端口分别为SqlServer、RDP服务,对特定源开放,因此访问源为特定源。
- 将除放行策略之外的流量设置为拒绝放行。
在访问控制页面外对内流量列表中,将源IP地址配置为
0.0.0.0/0
或地址簿中系统默认配置的地址簿ANY(0.0.0.0/0
),目的设置为ANY,协议设置为ANY,动作选择拒绝。
配置内到外的访问策略
内对外流量建议不要开放全部放行的策略,只对到必要的外部IP或域名的访问开启放行,其他访问全部设置为拒绝。
- 放行需要对外访问的应用或端口。
在访问控制页面内对外流量列表中,依据业务需求,将源IP地址配置为
0.0.0.0/0
或特定源,也可选择地址簿中系统默认配置的地址簿ANY(0.0.0.0/0
)或特定源,目的选择要放开的域名或IP或地址簿中的特定目的,协议选择ANY或者依据业务需要选择对应协议,动作选择放行。 - 将除放行策略之外的流量设置为拒绝放行。
在访问控制页面内对外流量列表中,将源IP地址配置为
0.0.0.0/0
或选择地址簿中系统默认配置的地址簿ANY(0.0.0.0/0
),目的设置为ANY,协议设置为ANY,动作选择拒绝。